Исследователь клонировал программный маркер двухфакторной системы аутентификации SecurID RSA
🕛 25.05.2012, 03:21
Представители RSA заявили, что клонирование можно будет осуществить только на компьютере уже скомпрометированном руткитом. Старший аналитик по вопросам безопасности в компании SensePost Бехран Фулади (Behrang Fouladi) нашел способ клонирования программного маркера двухфакторной системы аутентификации SecurID RSA. Отметим, что SecurID обеспечивает дополнительный уровень безопасности, к примеру, при подключении по VPN к сети компании. Маркер использует секретные значения и создает временные коды, которые нужно вводить помимо паролей.
Безопасность обоих процессов обеспечивается при помощи привязки маркера к определенной части оборудования. Однако Фулади использовал обратный инжиниринг для маркера программного обеспечения Windows для устранения аппаратного подключения и создания правильного маркера кода с другого компьютера. Этого удалось достичь после копирования закодированной базы данных SQLite, соответствующих секретных ключей и другой информации на вторую систему.
В случае если злоумышленник получает доступ к целевой системе внутри корпоративной сети, используя фишинг атаку или вредоносное ПО, то он может получить постоянный доступ к защищенной SecurID сети.
В RSA заявили, что на практике такой тип атаки можно будет осуществить лишь на компьютере уже скомпрометированном руткитом.